シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower System 互換性情報と アップグレードパス

 

   

はじめに

マイナーバージョン等を越える大きなアップグレードを行う時、FMC(旧名:FireSIGHT)と FirePOWERのバージョン互換性に注意し、順々にアップグレードが必要となります。 例えば、5.4.x→6.0.xや、6.0.x→6.2.xにアップグレード時は、アップグレードパスやソフトウェア互換性に注意する必要があります。

本ドキュメントでは、その互換性情報やアップグレードパス、及び 実際のアップグレード例を紹介します。

正しい情報を記載するよう注意しておりますが、最新情報や詳細情報は、各バージョンアップ先のリリースノートを確認するようにしてください。

   

 

アップグレード前に確認すべき事項

アップグレードの検討にあたり、事前に以下情報の確認を行う事をお勧めいたします。

FMC側での 主な確認事項 FirePOWERデバイス側での 主な確認事項
  • FMCの現在のソフトウェアバージョン
  • FMCのアップグレード先バージョン
    (任意リリースの最新バージョン利用が推奨)
  • FMCのアップグレードパス
  • FMCが管理可能な FirePOWER管理デバイスの
    ミニマムバージョン
  • FirePOWERの現在のソフトウェアバージョン
  • FirePOWERのアップグレード先バージョン
    (任意リリースの最新バージョン利用が推奨)
  • FirePOWERのアップグレードパス
  • (ASA利用時のみ)
    ASAやASDMソフトウェアがサポートする、
    FirePOWERモジュールのミニマムバージョン
  • (特にインラインで利用時)
    メンテナンス時間、もしくは 通信影響の少ない
    時間帯での実施を調整

 

  

 

Firepower System 互換性情報と アップグレードパス

以下に互換性情報とアップグレードパスの参考情報を示します。
 

FMCと FirePOWERデバイスの互換性情報

FMCは通常、1世代前までのFirePOWERバージョンをサポートします。また、FMCのアップグレードを行った、そのFMCが管理するFirePOWERデバイスのアップグレードを行う必要があります。 
   

以下表は、FMC 6.0.1.xまでの互換性マトリックスです。

FMC / FirePOWER Version Compatibility Matrix   ※2016年12月14日 更新

FMC (旧名:FireSIGHT) Version FirePOWER Sensor  ASA with FirePOWER
(Other)
ASA with FirePOWER
(ASA5506/5508/5516)
 6.0.1.1 & 6.0.1  Minimum 5.4.0.6    Minimum 5.4.0.6  Minimum 5.4.1.5
 6.0.0.1  Minimum 5.4.x   Minimum 5.4.x   Minimum 5.4.x 
 6.0.0.0            Minimum 5.4.0.6      Minimum 5.4.0.6  Minimum 5.4.1.5
 5.4.1.5 - 5.4.1.7  Minimum 5.4.0.6      Minimum 5.4.0.6      Minimum 5.4.1.5
 5.4.1.1 - 5.4.1.4            Minimum 5.3      Minimum 5.3.1  Minimum 5.4.1
 5.4.1              Minimum 5.3      Minimum 5.3.1  Minimum 5.4.1
 5.4  Minimum 5.3.0.1  Minimum 5.3.1  N/A
 5.3.1.2 - 5.3.1.7  Minimum 5.3      Minimum 5.3.1  N/A          
 5.3.1.1            Minimum 5.2.0.4  Minimum 5.3.1  N/A          
 5.3.1              Minimum 5.2      Minimum 5.3.1  N/A          

 

以下URLは、FMC 6.1.0.4の互換性情報です。
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/6104/relnotes/Firepower_System_Release_Notes_Version_6104.html#pgfId-127806

 
以下URLは 、FMC 6.2.1の互換性情報です。
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/management_capability.html

  

以下URLは 、FMC 6.2.2のサポートプラットフォームと環境の情報です。
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/relnotes/Firepower_Release_Notes_622/Firepower_Release_Notes_622_chapter_010.html#reference_lwm_pyb_yz

  
なお、最新の FMCバージョン毎の互換性情報は、該当バージョンのリリースノートの"Management Capability"などで確認できます。 そのため、バージョンアップ実施前に最新のリリースノートの記載を確認頂くことを強くお勧めいたします。

Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html

  

ASA/ASDMソフトウェアと FirePOWERデバイスの互換性情報

ASA with FirePOWER Servicesを利用の場合、ご利用のASAとASDMソフトウェアバージョンが、そのFirePOWERデバイスバージョンをサポートしている必要があります。 詳しくは、以下の互換性ガイドを参照してください。

Cisco ASA Compatibility - ASA 5500 and Module Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-137099
 

アップグレードパス

バージョン 5.4.xから6.1以降への具体的なアップグレードパスは、各リリースノートで確認可能です。  以下はそのリリースノートの一部となりますが、利用予定のアップグレード先バージョンによって、そのバージョンのリリースノート記載のアップグレードパスを確認してください。

なお、以下リリースノートで、5.4.x→6.0への具体的なアップグレードパスも確認できます。

Firepower System Release Notes, Version 6.1.0
  - Update Paths to Version 6.1.0
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/relnotes/Firepower_System_Release_Notes_Version_610.html#40265

 
Firepower System Release Notes, Version 6.2.0
  - Update Paths to Version 6.2.0
http://www.cisco.com/c/en/us/td/docs/security/firepower/620/relnotes/Firepower_System_Release_Notes_Version_620/important_update_notes.html#id_38002

 
Firepower System Release Notes, Version 6.2.1
  - Update Paths to Version 6.2.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/important_update_notes.html#concept_kjp_q5r_wy

Firepower System Release Notes, Version 6.2.2
  - Update Paths to Version 6.2.2
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/relnotes/Firepower_Release_Notes_622/Firepower_Release_Notes_622_chapter_0101.html#concept_kc4_qvb_yz

   

    

Firepower System アップグレード例

以下に実際のアップグレード例と、目安時間や利用ファイル情報を記載します。

version 5.3.0 から 5.4最新にアップグレード時

2016年4月に検証時のデータです。 なお、必要時間は、機器性能や設定、環境などにより変動する事に留意してください。

構成

対象 製品 現在version アップグレード先
 FMC  FMC VMware on ESXi 5.5  5.3.0.2  5.4.1.6
 FirePOWER
 Sensor
 FirePOWER Appliance 8120  5.3.0.1  5.4.0.7

    

各アップグレードステップと 目安時間 (実測)

Step 対象 バージョン変更

目安時間
(実測) ※1

利用ファイル例 ※2

 1  FMC  5.3.0.2 → 5.3.1  約50分 Sourcefire_3D_Defense_Center_S3_
Upgrade-5.3.1-152.sh
 2  FMC  5.3.1   → 5.4.0  約60分 Sourcefire_3D_Defense_Center_S3_
Upgrade-5.4.0-763.sh
 3  FMC  5.4.0   → 5.4.1.6  約300分 Sourcefire_3D_Defense_Center_S3_
Patch-5.4.1.6-40.sh
 4  FirePOWER 
 Sensor
 5.3.0.1 → 5.4.0  約90分 Sourcefire_3D_Device_S3_
Upgrade-5.4.0-763.sh
 5  FirePOWER 
 Sensor
 5.4.0   → 5.4.0.5  約80分 Sourcefire_3D_Device_S3_
Patch-5.4.0.5-24.sh
 6  FirePOWER
 Sensor
 5.4.0.5 → 5.4.0.7  約40分 Sourcefire_3D_Device_S3_
Patch-5.4.0.7-40.sh

※1: FMC(VM)とFP8120は 最低限の設定の状態で、アップグレード実行から完了までの時間を計測
※2: 最新のファイル情報は、Download Softwareリリースノートを確認すること

  

version 6.0.0 から 6.1.0.4にアップグレード時

2017年6月に検証時のデータです。 なお、必要時間は、機器性能や設定、環境などにより変動する事に留意してください。

構成

対象 製品 現在version アップグレード先
 FMC  FMC VMware on ESXi 5.5  6.1.0.2  6.1.0.4
 FirePOWER
 Sensor
 ASA5555 with FirePOWER Services  6.0.0.0  6.1.0.4

    

各アップグレードステップと 目安時間 (実測)

Step 対象 バージョン変更

目安時間
(実測) 

利用ファイル例 ※1

 1  FirePOWER 
 Sensor
 6.0.0 → 6.0.1  約50分 Cisco_Network_Sensor_Patch-6.0.1-29.sh
 2  FirePOWER 
 Sensor
 6.0.1 → 6.1.0 pre-install  約11分 Cisco_Network_Sensor_6.1.0_Pre-install-6.0.1.999-32.sh
 3  FirePOWER 
 Sensor
 6.1.0 pre-install
  → 6.1.0
 約45分 Cisco_Network_Sensor_Upgrade-6.1.0-330.sh
 4  FMC  6.1.0.2 → 6.1.0.4  約50分 Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.4-17.sh
 5  FirePOWER 
 Sensor
 6.1.0 → 6.1.0.4  約60分 Cisco_Network_Sensor_Patch-6.1.0.4-17.sh

※1: 最新のファイル情報は、Download Softwareリリースノートを確認すること

     

 

その他 確認・注意事項

各バージョンのアップグレード手順や注意事項など 細かな情報は、各バージョンのリリースノートに記載されています。 アップグレード前やアップデート前の、対象バージョンのリリースノートの確認を強くお勧めします。

Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html

        
具体的なアップデート手順 (=パッチ適用手順)や 主な注意事項は、以下ドキュメントを確認してください。 以下ドキュメントはアップグレード時も流用できます。 なお、アップグレードファイルは 手動アップロードと適用が必要です。 各ステップ毎に、事前確認、アップデート、その後のデプロイやヘルスチェックを繰り返します。

FMCと FirePOWER Module パッチの簡易アップデート手順
https://supportforums.cisco.com/ja/document/12948626

  
Firepowerシステムは ベースが Linuxサーバであり、アップグレード時は更新対象が多岐にわたります。 そのため、十分なメンテナンス時間を確保の上での アップグレード実施を 強くお勧めしております。 特にアップグレードの経由バージョンが多いほど アップグレード時間は伸びます。 また、アップグレード時間は 利用機器のパフォーマンスによっても左右されます。 必要に応じて、事前の検証を強くお勧めいたします。

 
アップグレードは、既存タスクが実行中でないことを 確認してください。 ヘルスモニタでアップグレード対象機器でエラーがないことを確認します。 また、アップグレード中の不測の再起動などが発生時はアップグレード失敗につながる為、電源環境が安定しているか 再確認してください。

  
アップグレードは、最新のIntrusion Rule(侵入/攻撃検知用ルール)と VDB(脆弱性情報データベース)の適用をしてください。

     

   

参考情報

Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順
https://supportforums.cisco.com/ja/document/12948626

FirePOWERのトラブルシューティング関連リンク
https://supportforums.cisco.com/ja/document/12725831

1145
閲覧回数
5
いいね!
0
コメント